Apple: MacOS weiter für Sudo-Lücke verwundbar

Apple hat die trivial ausnutzbare Sicherheitslücke in Sudo offenbar noch nicht in MacOS behoben. Darauf weisen Sicherheitsforscher hin.

Artikel veröffentlicht am ,
Das Logo von Sudo ist ein Sandwich.
Das Logo von Sudo ist ein Sandwich. (Bild: Pixabay/Pexels)

Das von Apple zu Wochenbeginn veröffentlichte Sicherheitsupdate für die aktuellen MacOS-Versionen behebt eine bekannte Sicherheitslücke in dem Werkzeug Sudo offenbar nicht und die Mac-Rechner sind entsprechend weiter verwundbar. Darauf weist unter anderem der Sicherheitsforscher Matthew Hickey auf Twitter hin. Die Sicherheitslücke (CVE-2021-3156) lässt sich demnach auch unter MacOS weiter leicht ausnutzen.

Stellenmarkt
  1. Leiterin / Leiter in der Gruppe Netzwerkplanung und Netzwerkbetrieb (w/m/d)
    Polizei Berlin, Berlin
  2. Projektleiter Technisch-logistische Betreuung (gn)
    ESG Elektroniksystem- und Logistik-GmbH, Fürstenfeldbruck bei München
Detailsuche

In der vergangenen Woche hatte das Forschungsteam des IT-Security-Unternehmens Qualys die Sicherheitslücke in dem Werkzeug Sudo bekanntgegeben. Das Werkzeug dient eigentlich dazu, dass Kommandos zwischenzeitlich mit erweiterten Rechten ausgeführt werden können, dabei aber nicht dauerhaft der Root-Account benutzt werden muss. Sudo ist auf so ziemlich jedem Unix-artigen Betriebssystem vorhanden, was neben Linux-Distributionen auch für MacOS gilt.

In der Ankündigung der Lücke hieß es: "Jeder nicht privilegierte Benutzer kann mit Hilfe einer Standard-Sudo-Konfiguration Root-Berechtigungen für einen anfälligen Host erhalten, indem diese Sicherheitslücke ausgenutzt wird". Unter MacOS gilt das zwar offenbar nicht unmittelbar, mit einigen Anpassungen könne die Sudo-Lücke aber auch unter MacOS genutzt werden, um Root-Rechte ohne eine Überprüfung zu erlangen.

Wie Hickey dem Magazin ZDnet sagte, reiche es, lediglich eine Verknüpfung (Symlink) zu erstellen oder die Argumente des Befehls (argv[0]) zu überschreiben, um die Lücke auszunutzen. Der Fehler wurde inzwischen auch von anderen Sicherheitsforschern auf MacOS bestätigt. Hickey hat die Sicherheitslücke eigenen Angaben zufolge inzwischen auch selbst an Apple gemeldet. Warum Apple die Lücke nicht bereits durch ein Update behoben hat und ob das Unternehmen zum Beispiel ursprünglich nicht an der koordinierten Veröffentlichung beteiligt wurde, ist derzeit nicht bekannt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
e.Go Life getestet
Abgesang auf ein schwer erfüllbares Versprechen

Der e.Go Life aus Aachen sollte Elektromobilität erschwinglich machen. Doch nach 1.500 ausgelieferten Exemplaren ist nun Schluss. Was nachvollziehbar ist.
Ein Bericht von Friedhelm Greis

e.Go Life getestet: Abgesang auf ein schwer erfüllbares Versprechen
Artikel
  1. Unbound: Neues Need for Speed verbindet Gaspedal mit Graffiti
    Unbound
    Neues Need for Speed verbindet Gaspedal mit Graffiti

    Veröffentlichung im Dezember 2022 nur für PC und die neuen Konsolen: Electronic Arts hat ein sehr buntes Need for Speed vorgestellt.

  2. Google: Pixel 7 und 7 Pro kosten so viel wie die Vorgänger
    Google
    Pixel 7 und 7 Pro kosten so viel wie die Vorgänger

    Googles Pixel-7-Smartphones kommen mit neuem Tensor-Chip, ansonsten ist die Hardware vertraut. Neuigkeiten gibt es bei der Software.

  3. Lochstreifenleser selbst gebaut: Lochstreifen für das 21. Jahrhundert
    Lochstreifenleser selbst gebaut
    Lochstreifen für das 21. Jahrhundert

    Früher wurden Daten auf Lochstreifen gespeichert - lesen kann man sie heute nicht mehr so leicht. Es sei denn, man verwendet Jürgen Müllers Lesegerät auf Arduino-Basis.
    Von Tobias Költzsch

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 jetzt bestellbar • MindStar (Gigabyte RTX 3090 Ti 1.099€, RTX 3070 539€) • Alternate (Team Group DDR4/DDR5-RAM u. SSD) • Günstig wie nie: MSI Curved 27" WQHD 165Hz 289€, Philips LED TV 55" Ambilight 549€, Inno3D RTX 3090 Ti 1.199€ • 3 Spiele für 49€ [Werbung]
    •  /